Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

NAT

는 클러스터의 전체 처리량에 영향을 미칠 수 있습니다. 로드 밸런싱 알고리즘은 IP 주소와 포

트를 기반으로 할 뿐만 아니라 NAT로 인해 인바운드 및 아웃바운드 패킷의 IP 주소 및/또는 포트

가 서로 달라질 수 있으므로, 인바운드 및 아웃바운드 NAT 패킷을 클러스터의 다른 ASA에 전송

할 수 있습니다. 패킷이 연결 소유자가 아닌 ASA에 전달되면 해당 패킷은 클러스터 제어 링크를 

통해 소유자에게 전달되며 이때 클러스터 제어 링크에 매우 많은 양의 트래픽이 발생합니다.
클러스터링에 NAT를 계속 사용하려면 다음 지침을 숙지하십시오.

프록시 ARP 없음 — 개별 인터페이스에서 프록시 ARP 응답은 매핑된 주소에 전송되지 않습

니다. 이렇게 되면 인접한 라우터가 클러스터에 더 이상 존재하지 않는 ASA와 피어 관계를 유

지하지 못하게 됩니다. 업스트림 라우터에는 기본 클러스터 IP 주소를 나타내는 매핑된 주소

에 대한 고정 경로 또는 PBR(객체 추적 포함)이 필요합니다. 스팬 EtherChannel의 경우에는 

하나의 IP 주소만 클러스터 인터페이스에 연결되므로 이는 문제가 되지 않습니다.

개별 인터페이스에 인터페이스 PAT 없음 — 개별 인터페이스에는 인터페이스 PAT가 지원되

지 않습니다.

동적 PAT에 NAT 풀 주소 분산 — 마스터 유닛은 클러스터 전체에 걸쳐 주소를 사전에 균일하

게 분산시킵니다. 멤버에 주소가 없는 연결이 전달된 경우 해당 연결이 드롭되며, 다른 멤버는 

유효한 주소를 보유한 경우에도 마찬가지입니다. 각 유닛에 주소가 전달되도록 하려면 NAT 

주소는 최소한 클러스터의 유닛에 있는 수만큼 추가해야 합니다. 주소 할당을 보려면 show 
nat pool cluster 

명령을 사용합니다.

라운드 로빈 없음 — 클러스터링에서는 PAT 풀을 위한 라운드 로빈을 지원하지 않습니다.

마스터 유닛에 의해 관리되는 동적 NAT xlate — 마스터 유닛에서는 xlate 테이블을 유지하고 

이를 슬레이브 유닛에 복제합니다. 동적 NAT가 필요한 연결이 슬레이브 유닛에 전달되고 
xlate

가 테이블에 없을 경우, 슬레이브 유닛에서는 마스터 유닛에서 xlate를 요청합니다. 슬레

이브 유닛에서는 이 연결을 소유합니다.

세션당 PAT 기능 — 클러스터링에만 해당되는 것은 아니지만, 세션당 PAT 기능을 사용하면 
PAT

의 확장성이 개선되며 클러스터링을 수행할 때 각 슬레이브 유닛에서 고유한 PAT 연결을 

소유할 수 있게 됩니다. 이와 달리 다중 세션 PAT 연결은 마스터 유닛에 전달해야 하며 마스

터 유닛에서 해당 연결을 소유하게 됩니다. 기본적으로 모든 TCP 트래픽 및 UDP DNS 트래

픽에서는 세션당 PAT xlate를 사용합니다. 다중 세션 PAT가 필요한 트래픽(예: H.323, SIP 또

는 Skinny)의 경우 세션당 PAT를 사용하지 않도록 설정할 수 있습니다. 세션당 PAT에 대한 자

세한 내용은 방화벽 컨피그레이션 가이드를 참조하십시오.

다음을 검사할 수 있는 고정 PAT 없음

FTP

PPTP

RSH

SQLNET

TFTP

XDMCP

모든 VoIP(voice-over-IP) 제품

로드 밸런싱으로 인해 모든 디바이스에서 제어 흐름을 만들 수 있지만 자식 데이터 흐름은 동일한 

디바이스에 상주해야 합니다.
TLS 

프록시 컨피그레이션은 지원되지 않습니다.